加速业务交付，从 GKE 上使用 Kubernetes 和 Istio 开始

原文来源于：谷歌云技术博客

许多企业机构正在把所有或部分 IT 业务迁移到云端，帮助企业更好的运营。不过这样的大规模迁移，在企业的实际操做中也有必定难度。很多企业保存在本地服务器的重要资源，并不支持直接迁移到云端。

另外，从企业本地到云的迁移过程，也会受到政策的限制、安全性考虑和原先运营方式的约束。

谷歌云致力于帮助用户把本地数据中内心的 IT 架构和资源，用更高效安全的方式迁移到云端。基于此目的，咱们基于容器和微服务架构，开发了一系列的开源技术。

下面的内容能够帮助您了解，咱们有哪些方式能够帮助您的企业顺畅地迁移到云上。

走向开放的云堆栈

在 Google Cloud Next '18 大会里，发布了云服务平台（Cloud Services Platform ），这是一套基于 Google 开源技术的托管方案。在这个平台上，有容器化和基于微服务的应用架构工具，用户能够利用这些功能，迅速实现 IT 资源的迁移和应用建立。

Cloud Services Platform 将容器编排工具 Kubernetes，以及服务管理平台 Istio 结合起来，在架构、安全性、可操做性上都给用户带来最好的体验。目标是提升云端工做效率和可靠性的同时，更适配业务的规模扩展。下面介绍一下如何经过GKE上的Istio来达到这一目标。

搭建服务时优先考虑Istio

咱们坚信帮助用户实践出最佳微服务架构，Istio 是一个关键工具。Istio 的优点在于它有更好的可见性和安全性，能让容器化任务更方便管理。借助Istio，咱们把 Kubernetes 服务直接集成，并简化容器的生命周期管理，Google Cloud 也是最先提供这项功能的云服务之一。

Istio 并非单个基础架构组件，而是一种服务网格，能提供应用程序的管理和可视化服务。经过收集日志，监控和网络遥测的数据，用户能够来设置和执行本身业务上的策略。Istio 支持加密网络流量来提升安全性，同时能透明地分层到现有的分布式应用程序上，完成这一步时，用户无需在代码中嵌入任何客户端库。

Istio 有我的身份验证，并能够和用户其余的服务关联起来。 mTLS （相互传输层安全协议）会被添加到服务通讯中，确保全部信息将在传输过程当中被加密。Istio 为每一个服务提供身份标识，容许用户针对每一个应用程序，执行单独的服务策略，同时提供惟一身份验证。

除此以外，由于 Istio 集成了 GCP 的原生监控工具 Stackdriver，你会从它的可视化界面功能中受益。这项集成将数据指标、日志和遥测发送到 Stackdriver，能让你监控 GKE 中每一个服务的信息（包括流量，报错率和延迟等）。

因为负载在本地和云端不一样的环境中运行，容器化微服务或单片虚拟机等等，而 Istio 1.0 是帮助用户实现混合云管理的关键一步。经过使用 GKE 上的Istio，能获得可见性、安全性和弹性更好的容器化应用程序，其中还包含一个超简单的插件，可与现有的程序一块儿来使用。

在 GKE 中使用 Istio

Istio 提供的服务级别视图和安全性，对于容器化微服务部署的分布式应用程序尤其重要，而 GKE 上的 Istio 容许您经过点击将 Istio 部署到 Kubernetes 集群。

GKE 上的 Istio 适用于新的和现有的容器部署。它容许您增量更新功能，例如Istio安全性，能让你现有的部署获得保障。当新版本发布时，它还能够自动升级Istio的部署，以此来简化Istio生命周期管理。

目前在 GKE 上的 Istio Beta 版本，是咱们努力让 GKE 成为企业理想选择的最新成果。欢迎访问 Google Cloud Platform 控制台，使用 GKE 上的 Istio 。要了解更多信息，请访问 cloud.google.com/istio 或 GKE 上的 Istio 文档。

优化 GKE 网络

在今年早些时候，咱们公布了许多关于 GKE 的新的网络功能，包括 VPC 原生集群，共享 VPC，原生容器负载均衡以及原生容器的网络服务，它们服务于 GKE 上的应用程序以及在谷歌云上的 Kubernetes。

• 借助 VPC 原生集群，GKE 自己能支持许多 VPC 功能，好比扩展，IP 管理，安全检查和混合链接等等。

• 共享 VPC 容许你将管理职责委派给集群管理员，同时确保那些关键的网络资源是由网络管理员来管理的。

• 容器原生负载均衡容许你建立负载均衡时指定容器做为端点，以实现更好的负载均衡。

• 网络服务能让你在容器工做中使用 Cloud Armor，Cloud CDN 和 Identity Aware Proxy。

咱们还公布了一些新功能，以简化容器部署的配置，包括一些后端和前端配置的加强功能。这些改进让不少操做和配置变得更简单，不管是网络资源的身份和访问管理，仍是 CDN，Cloud Armor 或负载均衡的控制。

改善了 GKE 的安全性

GCP 借助软件供应链和运行时安全工具，帮助用户在构建和部署生命周期的每一个阶段，保护容器环境。其中包括多个安全合做伙伴的工具集成，全部这些都创建在谷歌以安全性为中心的基础架构和实践的基础上。节点自动升级和私有集群等新功能增长了 GKE 用户可用的安全选项。

你能够在「探索容器安全性：今年是关于安全性的一年」中阅读有关 GKE 中新安全功能的更多信息。

经过 GCP Marketplace 发布 Kubernetes 应用程序

企业一般在 IT 环境中与许多合做伙伴合做，不管是在云中仍是在本地。六个月之前，咱们介绍了如何经过 GCP Marketplace 实现 Kubernetes 应用程序交付。 Kubernetes 应用程序不只仅提供容器镜像；它们是集成了用于一键部署发布的 GKE 生产级别的解决方案，Kubernetes 应用程序将被彻底视做应用程序来进行管理，从而简化资源管理。你还能够将 Kubernetes 应用程序，部署到非 GKE 的 Kubernetes 集群——不管它们是在本地仍是在云中——从而轻松实现快速开发和多容器统一计费。

用你的方式，定义你的云服务

若是你使用了 Containers and Kubernetes，会很熟悉它们是如何优化基础架构资源，下降运营开销，以及提升应用程序可迁移性的。不过经过对 Kubernetes 进行标准化，你还为改进的服务管理、安全性以及跨云和本地的简化应用程序采购和部署奠基了基础。

请在将来几个月继续关注有关 Kubernetes，微服务和云服务平台的更多信息。

让谷歌云更好地支持你

谷歌云团队将于今年与全国谷歌开发者社区更紧密的合做，但愿可以为谷歌云用户提供更好的支持与服务，不只将产出更多优质的文档、技术博客解决使用中遇到的问题，也将投入更多资源力量，与谷歌云的用户创建更直接的联系，面对面解决使用中的疑惑。

咱们真诚的但愿，有更多的谷歌云用户和开发者们，可以参与进谷歌云的技术生态建设中来，让咱们更加了解你们的需求，使用中遇到的问题，和其余想对咱们说的话。

扫描下图的二维码，参与谷歌云团队的线上调查，得到第一手学习资料与技术资源，咱们将抽取 10 位朋友，得到谷歌云正版周边，并有机会参与谷歌云团队的线下交流活动。